Onderzoekers van Check Point Research (CPR) hebben een geavanceerde phishingcampagne blootgelegd die inspeelt op zakelijk vertrouwen en de hype rond kunstmatige intelligentie. De campagne, genaamd ZipLine, wijkt af van traditionele methoden doordat criminelen geen verdachte mails versturen, maar bedrijfscontactformulieren gebruiken als ingang. Volgens CPR is dit een zorgwekkende ontwikkeling waar ook Nederlandse organisaties rekening mee moeten houden.
ZipLine
“De ZipLine-campagne is een wake-up call voor elk bedrijf dat denkt dat phishing alleen maar om verdachte links in e-mails gaat”, zegt Sergey Shykevich, Threat Intelligence Group Manager bij CPR.
Van contactformulier tot malware
In plaats van direct malware te sturen, doen de aanvallers zich via contactformulieren voor als potentiële zakenpartners. Er volgt een geloofwaardige e-mailwisseling die soms weken duurt. Pas later sturen de criminelen een zogenaamd geheimhoudingsdocument (NDA) in ZIP-formaat. Dit bestand bevat in werkelijkheid de MixShell-malware, die via technieken als DNS-tunneling en HTTP-fallback onopgemerkt opdrachten uitvoert en zich in het netwerk nestelt.
Sommige aanvallers gingen zelfs zover dat zij nepwebsites bouwden van bedrijven die werkelijk bestaan, om de illusie van legitimiteit te versterken.
Inspelen op AI-hype
Een tweede golf aanvallen was slimmer verpakt: als interne evaluatie over de impact van AI op werkprocessen. Medewerkers ontvingen zogenaamd namens hun directie de oproep om een vragenlijst in te vullen. Ook hierbij werd uiteindelijk geprobeerd slachtoffers het malafide ZIP-bestand te laten openen.
Doelwitten en risico’s
Vooral Amerikaanse productiebedrijven werden getroffen, maar ook organisaties in Europa en Azië binnen de lucht- en ruimtevaart, energie en biotech. De risico’s zijn aanzienlijk: van diefstal van intellectueel eigendom en ransomware-aanvallen tot verstoringen in supply chains en frauduleuze overnames van zakelijke accounts.
Aanbevelingen voor bedrijven
Check Point benadrukt dat organisaties hun beveiliging moeten uitbreiden naar álle communicatiekanalen, niet alleen e-mail. De aanbevelingen:
- Monitor ook contactformulieren en samenwerkingstools.
- Train medewerkers, vooral in inkoop en supply chain, in het herkennen van multi-channel phishing.
- Verifieer nieuwe zakelijke contacten via onafhankelijke bronnen.
- Zorg dat beveiligingstools ook ZIP-bestanden en archieven grondig scannen.
Volgens Shykevich laat ZipLine zien hoe cybercriminelen zich ontwikkelen: “Door alledaagse processen, zakelijk vertrouwen en de discussie over AI als wapens te gebruiken, bewijzen aanvallers dat geduld en social engineering nog steeds tot de meest effectieve middelen behoren om zelfs goed beveiligde organisaties te hacken.”